Mistic恶意软件利用恶意EndpointDlp.dll混入MicrosoftEndpoint组件中

admin 2026-07-13 05:25:57 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Mistic是一种新型Windows后门程序,利用DLL侧加载伪装成MicrosoftEndpoint组件endpointdlp.dll,通过内存执行和自我删除实现隐蔽持久化。与ModeloRAT共存,关联初始访问代理Woodgnat,后者有向勒索软件组织出售访问权限的历史。攻击目标涉及保险、教育、IT等行业。防御需关注行为检测和内存分析,监控异常DLL加载和API钩子。 综合评分: 90 文章分类: 恶意软件,威胁情报,漏洞分析,红队,内网渗透


cover_image

Mistic 恶意软件利用恶意 EndpointDlp.dll 混入 Microsoft Endpoint 组件中

ZM ZM

暗镜

2026年7月3日 06:00 北京

在小说阅读器读本章

去阅读

一种名为 Mistic 的新型 Windows 后门程序被发现,自 2026 年 4 月以来,该程序已在入侵事件中出现,其设计目的似乎是为了进行隐蔽的长期访问。

该恶意软件利用 DLL 侧加载、内存执行和自我删除来融入企业环境,并最大限度地减少取证痕迹。

Mistic 通过DLL 侧加载链引入,该链滥用名为 MpExtMs.exe 的合法可执行文件。恶意加载器会拦截负责库加载和路径解析的 Windows API 函数,并强制进程加载一个名为 EndpointDlp.dll 的木马化库。

所选的 DLL 名称模仿 Microsoft 端点组件,增加了恶意模块在初步检查中看起来像良性的可能性,并且它还会在受信任的主机进程中运行。

Mistic 加载完成后,支持经典的后门功能,如文件上传和下载、文件和目录管理、命令轮询间隔更改和远程代码执行,但其突出的功能是直接在内存中执行操作员提供的有效载荷,避免将这些有效载荷写入磁盘。

内存执行加上 DLL 侧加载降低了 Mistic 对基于特征的扫描器和以磁盘为中心的取证工具的可见性。

该后门还包含一个内置的终止开关,允许操作员终止和删除组件,从而在操作后或访问权限被出售或耗尽时进一步消除证据。

赛门铁克和其他供应商的研究人员在至少一次入侵事件中记录了 Mistic 与 ModeloRAT 的共存,从而建立了与初始访问代理 Woodgnat(又名 KongTuke)的可能运营联系,而 Woodgnat 曾有向勒索软件关联组织出售立足点的历史。

在观察到的入侵过程中,防御者发现 Mistic 与 .NET 凭据窃取组件一起部署,该组件会显示一个虚假的登录屏幕来窃取凭据,并且操作员使用了合法的管理工具 PowerShell、WMIC、curl、certutil、net.exe、reg.exe 以及自定义植入程序。

该工具集表明,重点在于隐蔽地收集凭证和持久化,而不是立即进行破坏性活动。

实际操作情况加剧了人们对 Woodgnat 与其关联的担忧。公开报告显示,Woodgnat 与利用被入侵的 WordPress 基础设施的ClickFix、FileFix 和 CrashFix 等社交工程攻击链诱骗受害者运行攻击者提供的 PowerShell 命令的攻击活动有关。

这些渠道此前曾提供过 ModeloRAT 和其他用于建立和出售访问权限的工具。赛门铁克和 Carbon Black 都报告了 Mistic 的活动,并指出其已部署在保险、教育、IT 和专业服务机构中,这与 Woodgnat 的机会主义式访问代理模式相符。

在至少一起事件中观察到 ModeloRAT 与 Mistic 的共同部署,这与已知的 Woodgnat 行动存在间接但有意义的重叠。

对于防御者而言,Mistic 强调了行为和记忆检测的重要性,而不仅仅依赖于特征码。

检测策略应包括监控对受信任进程的异常 DLL 加载、改变库解析的 API 钩子行为、意外的内存代码注入,以及在网络攻击或社会工程活动之后立即可疑地使用内置管理实用程序。

将异常的 EndpointDlp.dll 加载、网络命令和控制模式以及渗透后凭据收集 UI 痕迹关联起来的威胁狩猎查询将有助于发现隐藏的入侵。

归因仍属初步判断,但交付方式、工具和目标领域的融合值得加强监测和快速共享遥测数据。

分析人员建议隔离可疑主机,收集易失性内存进行分析,并搜索相关痕迹,例如修改后的 MpExtMs.exe 执行链以及 ModeloRAT 或凭证窃取程序活动的迹象。

IOC

e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984 3f797a639bc855bc6d5471f327924b62d10900ddec49b970eca6604142bbb4be afd5f1ed45a9867daf3bc64152cef460a06b164c8183e490db39146d4749a82c db972979d508e75fe730d3b72c2701470fbdaeaf8ebdd674744754fa44438ca5 fb3630822b70bacb56aa4cec29b5a0e3e9acb3920809e70310a4003385a6d34a 59e3c4cb06331b4f2d78a9a0592f3747e573bd01c5a7650c26361d1e25520712 8c935feec4bd05d5d918df308be417532fb42608fb989a08eab183e0ae699235


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《Mistic 恶意软件利用恶意 EndpointDlp.dll 混入 Microsoft Endpoint 组件中》

AI换脸黑产明星成提款机 网络安全文章

AI换脸黑产明星成提款机

文章总结: AI换脸技术正从娱乐工具演变为社会工程学武器。文章指出AI微短剧超95%使用换脸技术且超60%未经授权。迪丽热巴胜诉案确立了可识别性即侵权的司法标准
评论:0   参与:  0